配置LDAP域
概述
轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP),是对目录服务器(Directory Server)进行访问、控制的一种标准协议。LDAP服务器可以集中式地管理用户和群组的归属关系,通过绑定LDAP服务器,当一个用户访问您的文件系统的文件时,SFS Turbo将会访问您的LDAP服务器以进行用户身份验证,并且获取用户和群组的归属关系,从而进行Linux标准的文件UGO权限的检查。要使用此功能,首先您需要搭建好LDAP服务器(当前SFS Turbo仅支持LDAP v3协议),常见提供LDAP协议访问的目录服务器实现有OpenLdap(Linux),Active Directory(Windows)等,不同目录服务器的实现细节有所差别,绑定时需要指定对应的Schema(Schema配置错误将会导致SFS Turbo无法正确获取用户以及群组信息,可能导致无权限访问文件系统内文件),当前SFS Turbo支持的Schema有:
- RFC2307(Openldap通常选择此Schema)
- MS-AD-BIS(Active Directory通常选择此Schema,支持RFC2307bis,支持嵌套的群组)
SFS Turbo还支持配置主备LDAP服务器,当您的一台LDAP服务器故障无法访问后,SFS Turbo将会自动切换到备LDAP服务器访问,以免影响您的业务。如果所有配置的LDAP服务器都不可连通,则所有用户都会失去访问权限。
如果系统已对接 LDAP 服务器,SFS Turbo将不会对未在LDAP中配置的用户授予任何权限。
使用限制
- 仅支持NFS协议类型的SFS Turbo文件系统配置LDAP域。
- 在SFS Turbo对接LDAP服务器后,单个用户最多支持加入512个用户组。
- 在SFS Turbo对接LDAP服务器后,任何未存在于该LDAP服务器中的用户,其访问请求均会被系统拒绝。
- 在SFS Turbo对接LDAP服务器后,SFS Turbo将完全依据LDAP服务器中的配置信息来确定用户的组成员身份。本地的用户组信息将不再有效。
- 在SFS Turbo对接LDAP服务器之前,确保所有需要通过SFS Turbo访问资源的用户已存在于LDAP服务器中,且已分配至正确的用户组。
加域操作步骤
- 登录SFS Turbo管理控制台。
- 单击“SFS Turbo > 文件系统列表”,进入SFS Turbo文件系统列表中。
- 找到待加域的NFS协议类型的SFS Turbo文件系统并单击目标SFS Turbo文件系统名称,进入SFS Turbo文件系统详情界面。
- 单击“LDAP域”页签,进入LDAP域配置页面。
- 单击“加域”。
图1 LDAP域配置页面
- 填写LDAP域配置信息,单击“确定”。
图2 填写配置信息
表1 参数说明 参数名称
说明
主服务器地址
必填参数。
LDAP服务器的url。格式为ldap://{ip_address}:{port_number}或ldaps://{ip_address}:{port_number}的服务器地址,例如ldap://192.168.xx.xx:60000。
备服务器地址
选填参数。
LDAP备服务器的url。格式为ldap://{ip_address}:{port_number}或ldaps://{ip_address}:{port_number}的服务器地址,例如ldap://192.168.xx.xx:60000。
基准DN
必填参数。
指定LDAP进行搜索的起始DN,即从该DN下开始搜索。
绑定DN
选填参数。
服务器的绑定目录。客户端发起连接请求与LDAP服务器建立会话,这一过程被称为绑定。在建立绑定时客户端通常需要指定访问账号,以便能够访问服务器上的目录信息。用户访问内容必须通过绑定目录来进行查找。
VPC ID
选填参数。
在SFS Turbo支持多VPC的场景下,需要指定LDAP服务器可连通的VPC ID。
LDAP认证密码
选填参数。
LDAP认证密码。
Schema
选填参数。
LDAP模板信息。支持选择RFC2307或MS-AD-BIS。
如果您提供LDAP服务的服务器为AD域,请选择MS-AD-BIS,否则后续操作将提示权限不足。
LDAP搜索的超时时间(秒)
选填参数。
SFS Turbo到用户LDAP服务器的查找超时时间。最多选择30秒。
故障时允许使用本地用户鉴权
勾选该参数。
- 等待片刻后, NFS协议类型的SFS Turbo文件系统的LDAP域配置页面显示主服务器地址、备服务器地址、LDAP配置任务类型、LDAP配置任务状态、基准DN、绑定DN、VPC ID、Schema、LDAP搜索的超时时间、故障时允许使用本地用户鉴权等信息,表明加域成功。
退域操作步骤
- 登录SFS Turbo管理控制台。
- 单击“SFS Turbo > 文件系统列表”,进入SFS Turbo文件系统列表中。
- 找到待退域的SFS Turbo文件系统并单击目标SFS Turbo文件系统名称,进入SFS Turbo文件系统详情界面。
- 单击“LDAP配置”页签,进入LDAP域配置页面。
- 在已加域界面,单击“退域”按钮,弹出退域提示界面。
- 确认信息,单击“确定”,开始退域流程。
- 退域成功后,LDAP域配置页面删除退域前的信息。
图3 退域成功界面展示
加域失败的SFS Turbo文件系统支持退域操作。
相关操作
针对NFS协议类型的SFS Turbo文件系统,您还可以在已加域界面的操作列,单击“编辑”按钮,对加域信息进行修改操作。